[Mobile Forensics] Data acquisition 방법과 잠재적 증거 유형

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Data Acquisition 방법과 모바일 폰에서의 잠재적 증거에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

Data acquisition methods 

Data acquisition 

디지털 디바이스와 그것의 주변장치와 미디어를 대상으로 이미징하거나 정보를 추출하는 과정을 말합니다.

(the process of imaging or otherwise extracting information from a digital device and its peripheral equipment and media.)

 

모바일 폰에 대한 포렌식 증거획득 3가지 유형

- Physical acquisition

- Logical acquisition

- Manual acquisition

 

https://www.envistaforensics.com/services/digital-forensics-services/mobile-phone-forensics/

 

 

Physical acquisition

물리적 저장장치에 대한 비트 단위 복사 (a bit-by-bit copy of the physical storage)를 말합니다.

플래시 메모리에 직접 접근하여 디바이스로부터 정보를 획득합니다.

전체 파일시스템을 비트 단위로 복사합니다. (a bit-for-bit copy of an entire filesystem)

컴퓨터 포렌식 조사에서 고려된 방법론과 유사합니다.

디바이스에 존재하는 모든 데이터를 획득할 수 있습니다.

 

Logical acquisition 

파일시스템에 존재하는 파일이나 디렉토리와 같은 논리적인 저장 개체를 추출하는 것을 의미합니다.

(extracting the logical storage objects, such as files and directories, that reside on the filesystem)

모바일 포렌식에서는 디바이스 제조사에서 제공하는 어플리케이션 프로그래밍 인터페이스(application programing interface)를 이용하여 폰의 내용을 컴퓨터와 동기화 시키는 방법으로 데이터를 획득하기도 합니다.

비할당 영역에 존재하는 데이터를 복구하는 것은 아닙니다.

 

Manual acquisition 

물리적 획득(최고의 선택),  논리적 획득(최선의 선택),  수동 획득(최후의 선택)

논리적 및 수동 획득은 물리적 획득으로 발견된 것을 검증하는 용도로 이용하기도 합니다.

키패드, 터치스크린, 메뉴 선택 등을 이용하여 각 화면의 내용을 사진 촬영해 둡니다.

다만 작업자의 실수에 의하여 더 많은 위험을 발생시킬 수도 있습니다.

증거를 지울 위험성도 배제할 수 없습니다.

 

Potential evidence stored on mobile phones 

서비스 제공자는 모바일 디바이스에  통신 관련 정보를 저장해 둡니다.

모바일 디바이스 데이터 획득 도구는 폰의 메모리에서 데이터를 복구합니다.

 

증거로 유용하게 사용되는 artifacts

Address book

연락처 이름, 전화번호, 이메일 주소 등

 

Call history

송신 전화(dialed call)

수신 전화(received call)

부재중 전화(missed call)

통화 시간(call duration)

 

SMS

보낸 텍스트 메시지(sent text messages)

받은 텍스트 메시지(received text messages)

 

MMS

보낸 사진/비디오(sent photos/videos)

받은 사진/비디오(received photos/videos)

 

E-mail

보낸 편지(sent email messages)

임시 저장 편지(drafted email messages)

받은 편지(received email messages)

 

Web browser history

방문한 웹사이트에 대한 이력

 

Photos

캡쳐한 사진 (pictures were captured)

인터넷에서 다운로드한 사진 (pictures were downloaded from the internet)

다른 디바이스에서 이동시킨 사진 (pictures were transferred from other devices)

 

Videos

캡쳐한 동영상

인터넷에서 다운로드한 동영상

다른 디바이스에서 이동시킨 동영상

 

Music

인터넷에서 다운로드한 동영상

다른 디바이스에서 이동시킨 동영상

 

Documents

디바이스의 어플리케이션으로 직접 만든 문서

인터넷에서 다운로드 한 문서

다른 디바이스에서 이동시킨 문서

 

Calendar

캘린더의 항목과 약속 (calendar entries and appointments)

 

Network communication

GPS 정보

 

Maps

사용자가 방문한 곳 (places the user visited)

Look-up directions

검색하고 다운로드한 맵 (searched and downloaded maps)

 

Social networking data

Facebook 등 어플리케이션이 저장한 데이터

 

Deleted data

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Practical Mobile Forensics (Rohit Tamma)